了解

了解《数字运营弹性法案》(DORA)

《数字运营弹性法案》(DORA) 已推出，这意味组织现在应在合规性方面奋起领先了。在本指南中，我们将详解 DORA 的基础知识，包括其定义、重要性以及如何帮助您满足 DORA 要求。

什么是 DORA？

《数字运营弹性法案》是一项欧盟 (EU) 法规，对金融机构及其信息和通信技术 (ICT) 合作伙伴如何管理网络风险作出规定。该法案创建了具有约束力的监督框架，并制定了欧盟金融实体及其服务提供商必须在其 ICT 系统中实施的技术标准。

欧盟委员会于 2020 年 9 月提出了 DORA，两年后欧洲议会通过了该提法案。最终，欧洲银行管理局 (EBA)、欧洲证券和市场管理局 (ESMA) 以及欧洲保险和职业养老金管理局 (EIOPA) 于 2024 年 1 月 17 日发布了最终的技术标准。 DORA 于当天正式生效。

欧盟金融实体和 ICT 服务提供商必须在 2025 年 1 月 17 日之前遵守 DORA 要求。所有欧盟成员国需自行负责实施合规要求。指定监管机构或“主管机构”可以要求实体采取特定的安全措施并修复已知漏洞。

违规处罚也很严厉。被欧盟委员会视为“关键”(Critical) 的 ICT 提供商将受到“首席监督者”(Lead Overseer) 的监督。这些组织可以对不合规的提供商处以最高相当于上一业务年度全球平均每日营业额 1% 的罚款。

DORA 要求会如何影响您的组织？

DORA 最直接适用于在欧盟地区提供金融服务的组织。这包括银行、信用合作社、投资公司、保险公司和其他类型的金融机构。但是，DORA 涵盖的组织范围并不止于此。

ICT 服务提供商也必须遵守 DORA 的合规要求。换句话说，任何向欧盟金融部门提供 ICT 系统的技术公司都必须遵守欧盟的法规。根据 DORA，这包括任何总部设在欧盟以外但仍在欧盟管辖范围内运营的 ICT 提供商。

假设您的组织总部设在美国，为奥地利客户提供云服务和数据分析。在这种情况下，您的公司必须在欧盟内设立子公司以促进有效的治理。

根据普华永道 (PwC)，DORA 总共适用于超过 2.2 万家金融公司和 ICT 服务运营商。 DORA 制定了许多运营要求监管技术标准。稍后我们将从宏观上更详细地介绍这些内容：

涉及的实体必须制定全面的数字运营弹性战略，其中包括网络安全风险评估、业务连续性计划和事件响应协议。
各实体必须立即向国家监管机构报告影响其数字运营的重大事件，确保整个欧盟采取协调一致的应对措施。
金融机构必须管理和监控与其第三方 ICT 提供商相关的风险。这包括进行尽职调查和确保供应商满足合同要求。
各组织必须定期测试运营弹性框架，以发现并解决漏洞。
各实体必须建立治理结构，由高级管理层和董事会负责监督弹性并确保合规性。
DORA 鼓励各组织共享威胁情报和最佳实践，共同加强运营风险管理。

为什么需要 DORA？

金融服务提供商正面临风险。 DORA 旨在通过两种方式增强网络弹性：

大规模解决金融机构的 ICT 风险管理问题
将风险管理法规统一为一个整体框架

以前，欧盟法规主要侧重于确保金融公司有足够的资本来应对运营风险和中断。一些监管机构发布了 ICT 风险管理指南，但它们并不能适用于所有实体。此外，这些指南基于一般最佳实践，而不是技术标准。

如果没有统一的监督框架，每个欧盟成员国都会发布自己的要求。这使监管法规纷乱如麻，让跨境企业手足无措。

为解决这个问题，DORA 针对涉及的所有实体制定一套监管技术标准，无论这些实体在欧盟的哪个地方开展业务。通过协调金融部门的风险管理，DORA 最大限度地减少了混乱，提高了 ICT 安全、运营风险管理和业务连续性的标准。

什么是网络弹性？

DORA 旨在增强受监管金融实体的“网络弹性”。该术语指组织在数据泄露和网络攻击等中断事件中，维护运营完整性和业务连续性的能力。

连续性在金融领域尤其重要，在金融领域，ICT 系统在消费者访问和管理资金方面起着关键作用。根据 ESMA，金融服务已经严重依赖数字技术来进行日常运营。这种依赖已进一步成倍增加网络风险。

事实上，即使是单一的 ICT 事件也可能让关键基础结构产生重大的连锁反应。如果管理不当，这些风险可能会干扰金融服务的交付，从而影响其他实体、领域甚至整个欧洲经济。

想象一下，如果投资银行的第三方交易平台在拒绝服务攻击期间下线会发生什么。这不仅会破坏最终用户体验，而且还可能使客户在市场上损失大量资金。

更复杂的是，地缘政治事件使经国家支持的攻击者和流氓黑客大肆以金融服务为目标。例如，俄罗斯在乌克兰的战争激发了亲俄网络犯罪分子在 2023 年攻击欧洲投资银行的网络基础结构。幸运的是，该事件仅短暂地影响了该银行网站的可用性。

适用于欧盟数字运营弹性法案 (DORA) 的合规解决方案

了解与影响金融机构及其信息和通信技术 (ICT) 合作伙伴的网络风险相关的欧盟法规，以及 Entrust 如何提供帮助。

查看解决方案简介

DORA 合规性的 5 大支柱

DORA 的综合框架围绕五大支柱构建。每个支柱都涉及网络弹性和风险管理的不同方面，但综合起来，它们构成了强大、安全的金融部门的基础。

1. ICT 风险管理和治理

根据第 5 条，管理机构负责实施“健全、全面和有记录可查的”ICT 风险管理框架，这些框架能够降低网络风险并确保运营弹性达到与组织业务需求、规模和复杂性相称的水平。不这样做的领导者可能会因违规而被追究个人责任。

总体而言，各组织必须建立相应系统，以便在发生 ICT 事件时保持业务连续性。风险管理框架应包括策略、政策、流程和工具，以便保护物理组件和数字基础结构，使其免受未经授权的访问或损害。

此外，企业必须：

绘制其 ICT 系统地图，确定提供商之间的关键资产、功能和依赖关系
定期对 ICT 系统进行风险评估，记录、分类网络威胁并为此制定计划
完成业务影响分析，了解严重的中断会如何影响业务运营
实施适当的网络安全措施，例如身份和访问管理 (IAM) 工具、自动威胁检测系统等
针对网络攻击、服务故障和自然灾害制定业务连续性和灾难恢复计划
完成事后总结，从过去的事件中吸取教训并推动持续改进

2. 事件报告

第 15 条要求金融实体建立和实施与 ICT 有关的事件管理流程。具体而言，组织必须建立预警系统，以尽快检测、应对和报告事件。他们还必须建立在事发期间和事后监控事件的流程，从而使团队能够识别和消除其根本原因。

而且，根据第 16-20 条，组织必须：

使用适用于不同影响级别的标准对与 ICT 相关的事件进行分类。
创建向监管机构报告事件的通用模板或流程。
除了采取所有措施来减轻重大事件的后果外，还要立即向最终用户和客户通报重大事件。
在工作日结束前或下一个工作日开始后的四小时内报告事件（如果事件发生在前一个工作日结束前的两小时内）。

值得注意的是，DORA 要求实体提交三种不同类型的报告：

向管理机构通报的初步报告
用于说明事件解决过程的进展的中间报告
分析事件根本原因及其解决方式的最终报告

3. 数字运营弹性测试

DORA 制定了一些与弹性测试相关的基准要求。执行测试可使组织能够评估 ICT 相关事件的准备情况，发现漏洞并实施纠正措施。

根据第 21 条，实体必须：

制定与其规模、业务和风险状况相匹配的测试计划
包括一系列评估、测试、方法和工具
考虑到不断变化的 ICT 风险格局，遵循基于风险的方法
确保测试由独立方进行
对所有发现的问题和漏洞进行优先级排序、分类和全面补救
至少每年对所有关键的 ICT 系统和应用程序执行测试

此外，第 23 条规定，金融实体还应至少每三年进行一次以威胁主导的渗透测试。这是为了应对更严重的风险敞口，例如支持关键职能和服务（包括外包给服务提供商的职能和服务）的底层 ICT 流程。

4. 第三方风险管理

DORA 希望金融公司积极管理其第三方风险格局，并在谈判合同协议时考虑运营弹性。具体而言，DORA 制定了以下有关第三方风险管理的规则：

金融实体必须记录与第三方 ICT 服务提供商的合同协议有关的信息。
企业必须每年至少向主管机构报告一次与 ICT 供应商签订了多少新合同。
实体在评估合同时应进行尽职调查（通过识别所有相关风险和潜在的利益冲突）。他们还必须就涉及退出策略、审计和可访问性和安全性能目标的规定进行谈判。
金融实体和 ICT 第三方服务提供商的权利和义务应以书面形式进行分配和规定，且双方均可查阅。
关键 ICT 提供商受相关监管机构的直接监督。

该法规禁止实体与不符合适当技术标准的 ICT 公司签订合同。主管机构甚至可以暂停或终止不遵守相关规定的协议。

5. 信息共享

尽管这方面没有严格执行，但 DORA 还鼓励可信金融实体之间进行合作，以求：

提高对 ICT 相关风险的认识
最大限度限制 ICT 威胁途径的传播
分享防御技术、缓解策略和威胁情报

DORA 与 NIS 2

DORA 是与网络弹性和数字安全相关的一项欧盟指令。修订后的《网络和信息系统指令》(NIS 2) 与 DORA 合规性有很多重叠之处，这可能会让一些人困惑，不知道必须遵循哪些指导方针。

2023 年 9 月，欧盟委员会澄清了这两项法律之间的关系。最重要的一点是，DORA 是针对特定行业的，主要影响金融服务组织。相比之下，NIS 2 是一个更广泛的监管框架，涵盖能源和交通等关键基础设施领域。

根据 NIS 指令第 4(1) 和 (2) 条，DORA 的条款应优先于 NIS 2 中概述的条款。这意味着 DORA 在金融实体中占优先地位，至少在 ICT 风险管理、事件报告和弹性测试方面是如此。

为满足 DORA 合规性做好准备

DORA 为风险管理设定了高标准，这意味着满足其要求绝非易事。好在我们可为您提供一条明确的着手路径：

进行差距分析：初步差距分析包括自上而下评估公司的整体情况，定义其网络成熟度状态并了解其现有的风险管理框架。这项练习将帮助您确定应在多大程度上更新当前流程和步骤。
强制开展 ICT 培训：最好为所有员工（包括管理层）制定持续的培训计划。领导者应对 DORA 违规行为负责，因此请确保所有人都及时了解最新的 ICT 安全威胁并保持警惕。
审计第三方合同：深入了解合同协议可以帮助您了解与 ICT 提供商的依赖关系。这进一步可让您确定保护这些连接的安全措施并确定其优先顺序。清点所有合同，包括云服务提供商、软件供应商和其他 ICT 系统的合同。然后，确保他们也规定要符合 DORA 要求。

携手 Entrust 增强网络弹性

满足 DORA 合规性不能听天由命。无论您是金融实体还是 ICT 提供商，Entrust 的投资组合都能助力您加强防御，保护关键基础结构。

我们的解决方案包括：

硬件安全模块 (HSM)：nShield HSM 有助于为生成、管理和保护加密密钥提供安全的环境，这些密钥对于数据加密和安全通信至关重要。
云安全态势管理： Entrust CloudControl 安全平台使您能够在单一平台中轻松识别、修复和报告配置与合规性，从而帮助保护您的混合云环境。
密钥管理：密钥管理对于确保数据和金融交易的机密性和完整性至关重要。 Entrust KeyControl 可帮助您在整个生命周期中管理加密资产，防止有人未经授权访问 ICT 系统。
身份和访问管理： Entrust Identity as a Service 是一个智能平台，可简化用户身份验证、授权和访问控制。通过安全门户、身份验证等与您的消费者建立联系。
公钥基础结构 (PKI)： Entrust PKI 使用数字证书验证实体和加密数据，帮助提供安全通信和身份验证框架。

准备好开始了吗？欢迎立即联系我们的团队，简化 DORA 合规流程。

联系 Entrust 销售客服